Remcos是一種遠(yuǎn)程訪問(wèn)木馬（RAT），是2021年十大惡意軟件變種之一。感染計(jì)算機(jī)后，Remcos為攻擊者提供對(duì)受感染系統(tǒng)的后門(mén)訪問(wèn)，并收集各種敏感信息。

它是如何工作的？

Remcos 通常通過(guò)網(wǎng)絡(luò)釣魚(yú)攻擊進(jìn)行部署。該惡意軟件可能嵌入偽裝成聲稱包含發(fā)票或訂單的 PDF 的惡意 ZIP 文件中。或者，該惡意軟件也已使用 Microsoft Office 文檔和解壓縮并部署該惡意軟件的惡意宏進(jìn)行部署。

為了逃避檢測(cè)，Remcos 使用進(jìn)程注入或進(jìn)程挖空，使其能夠在合法進(jìn)程內(nèi)運(yùn)行。該惡意軟件還部署了持久性機(jī)制并在后臺(tái)運(yùn)行以隱藏用戶。

作為 RAT，命令和控制 (C2) 是Remcos惡意軟件的核心功能。惡意流量在前往 C2 服務(wù)器的途中被加密，攻擊者使用分布式 DNS 為 C2 服務(wù)器創(chuàng)建各種域。這使得惡意軟件有可能破壞依賴于過(guò)濾到已知惡意域的流量的保護(hù)。

Remcos惡意軟件功能

Remcos惡意軟件實(shí)際上是一家名為 Breaking Security 的德國(guó)公司以 Remote Control and Surveillance 的名義出售的合法工具，經(jīng)常被黑客濫用。該惡意軟件的一些關(guān)鍵功能包括：

• 特權(quán)提升： Remcos 可以獲得受感染系統(tǒng)的管理員權(quán)限并禁用用戶帳戶控制 (UAC)。這使攻擊者更容易執(zhí)行惡意功能。
• 防御規(guī)避： Remcos 使用進(jìn)程注入將自身嵌入到合法進(jìn)程中，使防病毒軟件更難檢測(cè)到。此外，該惡意軟件可以在后臺(tái)運(yùn)行以對(duì)用戶隱藏自身。
• 數(shù)據(jù)收集： Remcos惡意軟件的核心功能之一是收集有關(guān)計(jì)算機(jī)用戶的信息。它可以記錄擊鍵、捕獲屏幕截圖、音頻和剪貼板內(nèi)容，并從受感染的系統(tǒng)收集密碼。

Remcos 感染的影響

Remcos 是一種復(fù)雜的RAT，這意味著它授予攻擊者對(duì)受感染計(jì)算機(jī)的完全控制權(quán)，并可用于各種攻擊。Remcos 感染的一些常見(jiàn)影響包括：

• 帳戶接管： Remcos 的一些核心功能是從受感染的計(jì)算機(jī)收集密碼和擊鍵。通過(guò)竊取用戶憑據(jù)，攻擊者可以獲得對(duì)在線帳戶和其他系統(tǒng)的控制權(quán)，使他們能夠竊取敏感數(shù)據(jù)或擴(kuò)大其在組織 IT 環(huán)境中的立足點(diǎn)。
• 數(shù)據(jù)竊取： Remcos 竊取擊鍵和憑據(jù)，但也可以從組織的系統(tǒng)中收集和泄露其他敏感數(shù)據(jù)。因此，Remcos 可用于在最初受感染的計(jì)算機(jī)或通過(guò)受損憑據(jù)訪問(wèn)的其他系統(tǒng)上執(zhí)行數(shù)據(jù)泄露。
• 后續(xù)感染： Remcos 使攻擊者有可能在受感染的計(jì)算機(jī)上部署其他惡意軟件變體。這意味著 Remcos 感染可能導(dǎo)致勒索軟件感染或?qū)M織的其他后續(xù)攻擊。

如何防范 Remcos惡意軟件

雖然 Remcos 是領(lǐng)先的惡意軟件變體，但組織可以通過(guò)實(shí)施安全最佳實(shí)踐來(lái)保護(hù)自己免受感染。一些預(yù)防 Remcos 感染的方法包括：

• 電子郵件掃描： Remcos 主要通過(guò) C 分發(fā)。識(shí)別和阻止可疑電子郵件的電子郵件掃描解決方案可以防止惡意軟件到達(dá)用戶的收件箱。
• 內(nèi)容解除和重建 (CDR)： Remcos惡意軟件通常嵌入文檔文件中，例如 Microsoft Office 文件。CDR可以分解文檔、刪除惡意內(nèi)容并重建經(jīng)過(guò)消毒的文檔以發(fā)送給預(yù)期的收件人。
• 域分析： Remcos 使用DDNS創(chuàng)建大量域以逃避基于域的惡意站點(diǎn)阻止。分析各種端點(diǎn)請(qǐng)求的域記錄可以幫助識(shí)別可能與惡意軟件相關(guān)聯(lián)的新域名和可疑域名。
• 網(wǎng)絡(luò)流量分析：一些 Remcos 變體使用 AES-128 或 RC4 而非標(biāo)準(zhǔn)協(xié)議（如 SSL/TLS）直接加密其網(wǎng)絡(luò)流量。網(wǎng)絡(luò)流量分析可以識(shí)別這些不尋常的流量流，并標(biāo)記它們以供進(jìn)一步分析。
• 端點(diǎn)安全： Remcos 是一種眾所周知的惡意軟件變體，具有已確定的危害指標(biāo)。盡管有防御規(guī)避技術(shù)，但端點(diǎn)安全解決方案可以在系統(tǒng)上識(shí)別和修復(fù)它。